İçindekiler
KVKK Hizmeti ve Kişisel Verilerin Korunması
Kişisel verilerin korunması, günümüzde hem bireyler hem de işletmeler için büyük önem taşıyan bir konudur. Teknolojinin hızla gelişmesi ve dijitalleşmenin artmasıyla birlikte, kişisel verilerin korunması daha da kritik bir hal almıştır. Bu bağlamda, Türkiye’de Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin kişisel verilerinin korunmasını sağlamak ve bu alanda bir düzenleme getirmek amacıyla 2016 yılında yürürlüğe girmiştir.
KVKK Nedir?
KVKK, kişisel verilerin işlenmesi, korunması ve gizliliğinin sağlanması amacıyla oluşturulan yasal bir çerçevedir. Kanun, kişisel verilerin hukuka uygun bir şekilde işlenmesini, kişisel verilerin güvenliğinin sağlanmasını ve kişisel verilerin korunması ile ilgili hakların belirlenmesini hedefler. KVKK, veri sorumluları ve veri işleyenler için çeşitli yükümlülükler getirirken, veri sahiplerine de çeşitli haklar tanımaktadır.
KVKK’nın Önemi
Kişisel verilerin korunması, bireylerin özel hayatlarının gizliliğini sağlamak ve kişisel verilerin kötüye kullanılmasını önlemek için gereklidir. KVKK, bu amaca hizmet ederek, kişisel verilerin toplanması, işlenmesi, saklanması ve paylaşılması süreçlerinde belirli standartların uygulanmasını zorunlu kılar. Bu sayede, bireylerin kişisel verilerinin izinsiz kullanılmasının ve veri ihlallerinin önüne geçilir.
KVKK Kapsamında Yer Alan Temel Kavramlar
Kişisel Veri
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu kapsamda, ad, soyad, doğum tarihi, T.C. kimlik numarası, adres, telefon numarası, e-posta adresi gibi bilgiler kişisel veri olarak kabul edilir.
Veri Sorumlusu
Veri sorumlusu, kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Veri İşleyen
Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
KVKK Kapsamında Veri İşleme İlkeleri
KVKK, kişisel verilerin işlenmesi sırasında uyulması gereken temel ilkeleri belirlemiştir. Bu ilkeler şu şekildedir:
- Hukuka ve Dürüstlük Kurallarına Uygunluk: Kişisel veriler hukuka ve dürüstlük kurallarına uygun olarak işlenmelidir.
- Doğru ve Gerektiğinde Güncel Olma: Kişisel verilerin doğru ve gerektiğinde güncel olması sağlanmalıdır.
- Belirli, Açık ve Meşru Amaçlar İçin İşleme: Kişisel veriler belirli, açık ve meşru amaçlar için işlenmelidir.
- İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmalıdır.
- İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme: Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.
KVKK Kapsamında Veri Sahiplerinin Hakları
KVKK, veri sahiplerine (ilgili kişilere) çeşitli haklar tanımaktadır. Bu haklar şunlardır:
- Bilgi Talep Etme Hakkı: Veri sahipleri, kişisel verilerinin işlenip işlenmediğini öğrenme hakkına sahiptir.
- Veri Düzeltme Hakkı: Veri sahipleri, eksik veya yanlış işlenen kişisel verilerin düzeltilmesini talep etme hakkına sahiptir.
- Veri Silme Hakkı: Veri sahipleri, kişisel verilerin silinmesini veya yok edilmesini talep etme hakkına sahiptir.
- Veri Taşıma Hakkı: Veri sahipleri, kişisel verilerin başka bir veri sorumlusuna aktarılmasını talep etme hakkına sahiptir.
- İtiraz Hakkı: Veri sahipleri, kişisel verilerin işlenmesine itiraz etme hakkına sahiptir.
KVKK Kapsamında Yükümlülükler
Veri Sorumlularının Yükümlülükleri
Veri sorumluları, KVKK kapsamında belirli yükümlülüklere tabidir. Bu yükümlülükler arasında şunlar yer alır:
- Aydınlatma Yükümlülüğü: Veri sorumluları, veri sahiplerini kişisel verilerinin işlenmesi konusunda aydınlatmakla yükümlüdür.
- Veri Güvenliği: Veri sorumluları, kişisel verilerin güvenliğini sağlamak için gerekli teknik ve idari tedbirleri almakla yükümlüdür.
- Veri İhlal Bildirimi: Veri sorumluları, veri ihlali durumunda ilgili kişilere ve Kişisel Verileri Koruma Kurumu’na bildirimde bulunmakla yükümlüdür.
Veri İşleyenlerin Yükümlülükleri
Veri işleyenler de veri sorumluları gibi belirli yükümlülüklere tabidir. Bu yükümlülükler, veri işleme faaliyetlerinin veri sorumlusunun talimatlarına uygun olarak gerçekleştirilmesini içerir.
KVKK Hizmetlerinin Önemi
KVKK hizmetleri, işletmelerin KVKK’ya uyum sağlamalarına yardımcı olmak amacıyla sunulan profesyonel hizmetlerdir. Bu hizmetler arasında şu konular yer alır:
- KVKK Uyum Danışmanlığı: İşletmelere, KVKK’ya uyum sağlama sürecinde danışmanlık hizmeti sunmak.
- Veri Envanteri Hazırlama: İşletmelerin kişisel veri işleme süreçlerini belirlemek ve veri envanteri oluşturmak.
- Aydınlatma Metni ve Açık Rıza Metni Hazırlama: İşletmelerin veri sahiplerini aydınlatmak amacıyla aydınlatma metni ve açık rıza metni hazırlamalarına yardımcı olmak.
- Veri Güvenliği Tedbirleri: İşletmelerin kişisel verilerin güvenliğini sağlamak için gerekli teknik ve idari tedbirleri almalarına destek olmak.
- KVKK Eğitimleri: İşletmelere ve çalışanlarına KVKK konusunda eğitimler düzenlemek.
Analiz Süreci
- GAP Analizi
- Organizasyon Şemasının İncelenmesi
- Hizmet Envanteri ve İş Süreçlerinin İncelenmesi
- Yapılandırılmış ve Yapılandırılmamış Verinin Tespiti
- Veri Sınıflandırmanın Yapılması
İdari Tedbirler Süreci
- Kişisel Veri İşleme Envanterinin Hazırlanması
- Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
- Aydınlatma Metinleri ve Açık Rıza Beyanları
- Sözleşmeler (Veri Sorumlusu- Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen)
- Gizlilik Taahhütnameleri
- Kurum İçi Periyodik ve/veya Rastgele Denetimler
- Risk Analizleri
- İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
- Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi)
- Eğitim ve Farkındalık Faaliyetleri
Teknik Tedbirler Süreci
- Ağ ve Uygulama Güvenlği
- Şifreleme ve Anahtar Yönetimi
- Silme, Yok Etme ve Anonim Hale Getirme
- Bulut Veri Güvenliği
- Fiziksel ve Çevresel Güvenlik
- Bilgi Teknolojileri Yatırımları
- Sızma Test (Penetrasyon Testi)
- Saldırı Tespit ve Önleme Sistemleri ile Siber Güvenlik
- Log Kayıtları
- Veri Maskeleme
- Veri Kaybı Önleme Yazılımları (DLP)
- Yedekleme
- Güvenlik Duvarları (Firewall)
- Güncel Anti-Virüs Sistemleri
- Yetki Matrisi
- Yetki Kontrol
- Erişim Logları
- Kullanıcı Hesap Yönetimi
Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Kayıt Süreci
- Veri Girişi Yapacak ve Güncelleyecek İrtibat Kişisinin Belirlenmesi ve Kaydının Oluşturulması
- Veri Sorumluları Sicil Bilgi Sistemine Bildirimin Yapılması
- Veri Sorumlusu Yönetici Giriş Kaydının Oluşturulması ve Şifrelerin Alınması
General Data Protection Regulation (GDPR)
Temel olarak aynı amaca hizmet eden bu iki sistemde kişilerin özel hak ve özgürlüklerini korumayı amaçlarken, burada oluşacak olumsuzluklar sonrasında şirketleri de kanun yapıcı önünde korumayı hedefler.
Avrupa Birliğinin 2016 yılında geçerek uygulamaya koyduğu ve kişisel veri tanımlarının detaylıca yapıldığı bir sistemdir. Ülkemizde KVKK öncesinde bazı kuruluşlar GDPR uygulamalarına geçmiş ve firmalarını bu sürece hazır hale getirmiştir.
Kişisel verilerin korunması sürecine bakıldığında sistemin 3 temel ayak üzerine inşa edildiğini görüyoruz. Bunlar;
- Hukuki Yaklaşım
- Dokümantasyon
- Teknoloji
Epasis Bilişim Teknolojileri; bu aşamada müşterilerine tüm süreçleri kapsayan çözümler sunarak, bu zorlu süreçte kurumların ticari faaliyetlerine odaklanmasını sağlamaktadır. KVKK sürecine geçişte yapılan çalışmalar firmaların sektörlerine göre farklılıklar gösterse bile aşağıdaki adımlar takip edilmektedir.
- Kullanılan yazılım ve altyapı çalışmasının yapılması,
- Hukuki süreçlerin belirlenmesi,
- Sistemin eksiksiz şekilde uygulanması
- Kurum yada kuruluşun KVKK süreçlerine göre analiz edilmesi,
- KVKK geçiş yol haritasının çıkarılması,
- Dokümantasyonun hazırlanması,
Bu süreç sonunda işletmeler KVKK ile ilgili tüm süreçleri işletir ve kendini 3. Taraflara karşı korur.
KVKK, kişisel verilerin korunması ve gizliliğin sağlanması konusunda önemli bir yasal düzenlemedir. Hem bireyler hem de işletmeler için büyük önem taşıyan bu kanun, kişisel verilerin hukuka uygun bir şekilde işlenmesini ve korunmasını amaçlar. KVKK hizmetleri ise işletmelerin bu kanuna uyum sağlamalarına yardımcı olarak, kişisel verilerin korunmasını ve veri ihlallerinin önlenmesini sağlar.
Kişisel Verilerin Korunması Kanunu’nun (KVKK) uygulamalarının kamuoyunda gündeme gelmesiyle, rıza olmaksızın elde edilen kişiye özel verilerin kullanılması, vatandaşlara ticari elektronik iletiler gönderilmesi, kamuya açık alanda güvenlik kameralarının kullanılması ile konferans ve seminerlerde kişinin görüntülerinin çekilmesi gibi durumların hukuki boyutlarının detaylı olarak incelenmesi.
Sızma Testi Hizmeti
Siber güvenlik tehditlerinin sürekli evrim geçirdiği dijital dünyada, işletmelerin ve bireylerin hassas verilerini koruma gereksinimi her zamankinden daha kritik bir hale gelmiştir; bu bağlamda, sızma testi hizmetleri, güvenlik açıklarını tespit etmek,
Siber saldırıları önceden engellemek ve bilgi sistemlerinin güvenlik seviyesini artırmak amacıyla gerçekleştirilen kapsamlı bir değerlendirme süreci sunarak, ağ altyapılarından web uygulamalarına, mobil cihazlardan IoT cihazlarına kadar geniş bir yelpazede olası zafiyetleri belirleyip raporlayan, bu zafiyetlerin nasıl sömürülebileceğini gösteren ve nihayetinde bu güvenlik açıklarının kapatılması için gerekli çözümleri sağlayan profesyonel hizmetler sunmaktadır;
Böylece işletmeler, güvenlik politikalarını güçlendirerek, hem yasal uyumluluklarını sağlamakta hem de itibarlarını koruma altına almaktadır, ayrıca sızma testi hizmetleri, kuruluşların siber güvenlik farkındalığını artırmakta, çalışanların güvenlik bilincini yükseltmekte ve bir siber saldırı durumunda hızlı ve etkili müdahale edebilme yeteneğini geliştirmektedir; sonuç olarak, sızma testi hizmetleri, günümüzün karmaşık ve dinamik tehdit ortamında, bilgi güvenliğini sağlama ve sürekli iyileştirme sürecinin vazgeçilmez bir parçası olarak karşımıza çıkmaktadır.